Serangan siber terus berevolusi. Jika dulu pelaku kejahatan digital mengandalkan email mencurigakan dengan domain aneh, kini mereka justru memanfaatkan infrastruktur resmi milik Microsoft untuk menipu korban. Teknik ini membuat banyak pengguna lengah karena pesan yang diterima terlihat sah dan berasal dari sistem terpercaya.
Baca Juga : Awas! Bug Outlook Terbaru Bikin Lampiran Excel Gagal Dibuka
Dalam beberapa waktu terakhir, penjahat siber diketahui semakin sering menyalahgunakan domain .onmicrosoft.com untuk melancarkan aksi penipuan berbasis Telephone-Oriented Attack Delivery (TOAD). Metode ini tidak mengandalkan malware atau lampiran berbahaya, melainkan manipulasi psikologis yang dikemas rapi dalam pesan resmi.
Menyamar Lewat Infrastruktur Resmi Microsoft
Domain .onmicrosoft.com sebenarnya adalah domain default yang otomatis diberikan saat sebuah organisasi membuat tenant di Microsoft Azure. Domain ini sah, legal, dan digunakan oleh Microsoft untuk berbagai kebutuhan administrasi.
Masalahnya, celah inilah yang dimanfaatkan oleh pelaku kejahatan siber.
Dengan membuat tenant Azure sendiri, attacker bisa mengirim Microsoft Invite yang terlihat seolah-olah berasal dari sistem internal Microsoft. Bagi pengguna awam, email semacam ini hampir tidak menimbulkan kecurigaan karena alamat pengirimnya tampak resmi dan familiar.
Inilah yang membuat serangan ini sangat berbahaya: tidak ada domain palsu, tidak ada server ilegal, semuanya terlihat “normal”.
Isi Pesan Jadi Senjata Utama
Menurut pengamatan peneliti keamanan Jay Kerai, pelaku tidak lagi mengandalkan lampiran berbahaya atau tautan mencurigakan. Sebagai gantinya, mereka memanfaatkan kolom “Message” dalam undangan Microsoft tersebut.
Isi pesannya biasanya berupa social engineering yang dirancang untuk memicu kepanikan, seperti:
-
Pemberitahuan tagihan mencurigakan
-
Masalah langganan Microsoft
-
Permintaan konfirmasi akun
-
Ancaman penangguhan layanan
Di dalam pesan itu, korban diarahkan untuk menghubungi nomor dukungan palsu. Begitu korban menelepon, penipuan pun dimulai—mulai dari pengambilan data pribadi hingga permintaan pembayaran.
Sulit Terdeteksi karena Reputasi Domain Tinggi
Karena email dikirim melalui infrastruktur resmi Microsoft, reputasi domainnya sangat tinggi. Akibatnya, banyak sistem keamanan email standar tidak langsung menandai pesan ini sebagai berbahaya.
Email yang sama, jika dikirim dari server tidak dikenal, mungkin akan langsung masuk folder spam. Namun dalam kasus ini, pesan tersebut justru mendarat mulus di inbox utama korban.
Memang, Microsoft Defender for Office 365 (MDO) sering kali mampu mendeteksi email ini sebagai phishing dengan tingkat kepercayaan tinggi. Namun mengandalkan sistem otomatis saja jelas bukan solusi ideal, apalagi jika satu pesan saja lolos.
Pembatasan B2B Bukan Solusi Mutlak
Sebagian tim keamanan mencoba mengatasi masalah ini dengan membatasi akses B2B melalui Entra External Identity. Sayangnya, pendekatan ini tidak efektif untuk teknik serangan ini.
Pasalnya, serangan tetap berjalan meskipun korban tidak menerima undangan atau tidak melakukan login sama sekali. Payload berbahaya sudah lebih dulu “dikirimkan” melalui isi email notifikasi.
Artinya, begitu email tersebut masuk ke inbox, potensi kerugian sudah terbuka.
Aturan Exchange Transport Rule
Untuk mengurangi risiko, administrator keamanan disarankan membuat Exchange Transport Rule khusus. Namun, memblokir domain .onmicrosoft.com secara langsung bukanlah pilihan bijak karena domain ini juga digunakan untuk lalu lintas administratif yang sah.
Solusi yang lebih aman adalah menggunakan Regular Expressions (Regex) untuk mendeteksi pola pesan tertentu yang digunakan dalam serangan ini, tanpa mengganggu komunikasi resmi Microsoft.
Peneliti keamanan merekomendasikan penggunaan Regex berikut untuk memindai isi pesan:
textDomain:\s+([A-Za-z0-9]+)\.onmicrosoft\.com
Dengan pendekatan ini, sistem dapat memeriksa pola mencurigakan di dalam body email, bukan sekadar alamat pengirimnya.
Tetap Waspada terhadap Penggunaan yang Sah
Meski efektif, penerapan aturan ini tetap harus dilakukan dengan hati-hati. Tidak semua email dari domain .onmicrosoft.com bersifat berbahaya.
Beberapa kontraktor, mitra kecil, atau vendor memang masih menggunakan domain default tersebut karena belum mengonfigurasi domain khusus. Jika aturan diterapkan tanpa audit, komunikasi bisnis yang sah bisa ikut terganggu.
Oleh karena itu, tim keamanan disarankan untuk:
-
Melakukan audit lalu lintas email terlebih dahulu
-
Mengidentifikasi pengirim sah dari domain .onmicrosoft.com
-
Melakukan whitelist jika diperlukan
-
Mendorong mitra bisnis untuk menggunakan domain custom
Baca Juga : Microsoft Konfirmasi Update Windows 11 24H2/25H2 dan Server 2025 Picu Masalah RemoteApp
Serangan siber kini tidak selalu terlihat mencurigakan. Justru, semakin sering pelaku memanfaatkan platform resmi dan terpercaya untuk mengelabui korban. Penyalahgunaan domain .onmicrosoft.com menjadi bukti bahwa keamanan tidak cukup hanya mengandalkan reputasi domain atau filter otomatis.
Bagi pengguna, kewaspadaan tetap menjadi kunci. Sementara bagi administrator dan tim IT, kombinasi antara konfigurasi teknis yang tepat, audit berkala, dan edukasi pengguna adalah langkah penting untuk menghadapi ancaman yang semakin canggih ini.
